Le terme « données » fait référence à l’information brute dans son état fondamental. D’autre part, le terme « big data » est couramment utilisé pour décrire des ensembles d’informations vastes, complexes et difficiles à structurer. À l’origine, ce terme était principalement employé pour désigner la taille volumineuse des données. Toutefois, dans l’usage contemporain, il a évolué vers un concept englobant l’ensemble des processus, du stockage des données à leur transformation en informations, illustrant l’ampleur de l’ensemble du spectre.
Le Big Data se caractérise par ses composantes fondamentales, notamment l’escalade du volume de données, la nature impérative de la vélocité des données et la diversité de leur provenance. Grâce à l’utilisation adroite des compétences en matière d’analyse et d’interprétation des données, le big data permet aux entreprises de prendre des décisions judicieuses, de réduire les coûts et d’améliorer la qualité des produits/services. Par conséquent, le big data est considéré comme une capacité offrant à la société la possibilité de propulser l’information de manière innovante. Alors que le big data s’affirme comme une facette indispensable du progrès technologique dans des cadres opérationnels, une nouvelle ère s’est ouverte, obligeant à une gestion prudente des risques liés à la sauvegarde des données personnelles. Cependant, comme indiqué ci-dessous, la loi n° 6698 sur la protection des données personnelles, qui sous-tend la jurisprudence en matière de protection des données personnelles en Turquie, ne tient pas suffisamment compte des implications transformatrices introduites par le big data.
I. Protection des données personnelles spéciales et sensibles
Conformément à l’article 3 de la loi n° 6698 sur la protection des données à caractère personnel, toute information concernant une personne physique identifiée ou identifiable est considérée comme une donnée à caractère personnel. En outre, selon l’article 6, des données telles que « la race, l’origine ethnique, l’opinion politique, la croyance philosophique, la religion, la secte, la tenue vestimentaire, l’appartenance à des associations, fondations ou syndicats, la santé, la vie sexuelle, les condamnations pénales et les mesures de sûreté » sont désignées comme des catégories spéciales de données à caractère personnel, englobant les données biométriques et génétiques. Toutes les données relevant de cette définition bénéficient de la protection prévue par la loi. Cependant, l’utilisation de vastes ensembles de données dans le contexte du big data peut potentiellement donner accès à des informations personnelles sensibles dérivées de données apparemment ordinaires. En fait, il devient possible de déterminer des informations identifiables à partir de données non personnelles, ce qui souligne la nécessité d’une approche méticuleuse dans le traitement de ces transformations de données.
II. Principe du traitement des données en fonction de la finalité, limité et proportionné
Conformément à l’article 4, paragraphe 2, de la loi sur la protection des données à caractère personnel, les principes à prendre en compte lors du traitement des données à caractère personnel sont les suivants : « a) le respect de la loi et des principes d’honnêteté ; b) l’exactitude et, si nécessaire, la mise à jour ; c) le traitement pour des finalités déterminées, claires et légitimes ; d) le lien, la limitation et la proportionnalité avec la finalité du traitement ; et e) la conservation pendant la durée prescrite par la législation applicable ou aussi longtemps que nécessaire au regard de la finalité pour laquelle elles sont traitées. En examinant ces conditions imposées par la loi, on constate que l’utilisation des « big data » peut devenir pratiquement impraticable. Le cadre juridique, qui cherche à minimiser la collecte et le traitement des données avec le big data en les liant à des finalités spécifiques, est incongru. Dans ce contexte, le défi le plus fondamental à relever est l’absence de prévisibilité pour chaque finalité du traitement des données au moment où les données sont collectées et où le consentement est divulgué.
III. Consentement explicite de la personne concernée
Le premier paragraphe de l’article 3 de la loi définit le consentement explicite comme « un consentement fondé sur des informations concernant un sujet spécifique et donné de plein gré ». Conformément à l’article 5, paragraphe 1, et à l’article 6, paragraphe 2, le consentement explicite de la personne concernée est requis pour le traitement des données à caractère personnel et des données à caractère personnel sensibles. En outre, le consentement explicite est obligatoire pour le transfert de données à caractère personnel. Il est essentiel de souligner qu’un consentement occasionnel concernant le traitement de données à caractère personnel ne répond pas aux critères de qualification stipulés dans la loi. Au moment où le consentement est divulgué, il doit être spécifique en ce qui concerne la finalité pour laquelle la personne concernée donne son consentement. Une autre condition envisagée par la loi est le consentement fondé sur une prise de décision éclairée. Toutefois, dans la pratique, les entreprises tentent d’obtenir le consentement de la personne concernée au moyen de formulaires de divulgation longs et complexes, ce qui est contraire aux dispositions de la loi. Enfin, l’exigence que le consentement soit donné de plein gré est également établie. Dans ce cadre, les dispositions qui subordonnent l’achat d’un service ou d’un produit à l’approbation d’une personne posent des problèmes, notamment lorsqu’il s’agit de s’assurer que le consentement est donné librement.
IV. Principe du traitement des données pour des finalités déterminées, explicites et légitimes
Conformément à l’article 11 de la loi, les personnes ont le droit de demander au responsable du traitement des données des informations sur le traitement de leurs données personnelles. Toutefois, la manière dont les personnes seront informées et pourront s’opposer aux résultats négatifs découlant de l’analyse effectuée par des systèmes automatisés, telle qu’introduite par cet article, reste incertaine. En outre, conformément aux dispositions des articles 13 et 14, qui régissent les droits des personnes concernées de s’adresser au responsable du traitement et de déposer des plaintes auprès de la Commission, les demandes doivent être présentées par écrit ou selon d’autres méthodes déterminées par la Commission. Après examen de ces dispositions, il est évident que les règlements partent du principe que les personnes concernées sont pleinement conscientes. Toutefois, dans le contexte des applications de big data, la probabilité que les personnes concernées aient une telle conscience semble douteuse. L’absence de communication interactive entre la personne concernée et le responsable du traitement des données est la principale raison de l’inadéquation de ce règlement avec les applications « big data ». Dans le même temps, le règlement actuel ne permet à la personne concernée que de formuler des demandes d’information, ce qui la prive de la possibilité de confirmer les informations reçues.
V. Anonymisation des données à caractère personnel
Outre les règles constitutionnelles et légales visant à protéger les données à caractère personnel, il est nécessaire de mettre en œuvre des processus tels que la destruction, l’effacement et l’anonymisation des données à caractère personnel à la fin de la période maximale requise pour les finalités pour lesquelles elles ont été traitées. L’objectif premier de l’anonymisation est d’extraire des avantages d’ensembles de données ayant un potentiel significatif tout en les purgeant des informations personnelles. Bien que l’anonymisation soit suffisamment importante pour justifier une réglementation distincte en termes de protection des données à caractère personnel, le simple fait d’anonymiser de grands ensembles de données n’est pas suffisant pour assurer la protection des données. Même lorsque des données à grande échelle sont rendues anonymes, l’identification des personnes devient plus facile à mesure que l’échelle des données augmente. Par conséquent, l’anonymisation de grands ensembles de données peut, dans la pratique, entraîner plus de dommages que d’avantages en termes de protection des données.
